Čína – ochrana osobních dat na internetu, sociální sítě a role státu

Nová legislativa – zákon o kybernetické bezpečnosti a zákon o ochraně osobních dat

Až do roku 2017 chyběla v oblasti kybernetické bezpečnosti a ochrany dat na internetu ucelená celostátní legislativa. 1. června 2017 nabyl účinnosti Zákon o kybernetické bezpečnosti, který se skládá z šesti pilířů – kontrola obsahu na internetu, ochranný systém kybernetické bezpečnosti, bezpečnostní ochranný systém kritické informační infrastruktury, ochrana osobních a jiných důležitých dat, řízení síťových produktů a služeb, řešení incidentů. Předpis je velmi obecné povahy a bude potřebovat doplnění dalšími předpisy, na kterých se intenzivně pracuje. Jak je patrné již z názvů jednotlivých oblastí, kromě ochrany dat a bezpečnosti se zaměřuje i na sektor, který je pro vládu neméně důležitý – kontrola obsahu. Nejedná se samozřejmě o nic nového, stát vykonává efektivní kontrolu nad internetovým obsahem již od samého počátku, nová úprava ale možnosti kontroly rozšiřuje. Další oblasti pak mimo jiné zavádí povinnosti pro státní orgány a poskytovatele služeb, ale spíše obecně formulované, s předpokladem vydání speciálních předpisů.[2][1]

Jeden z doplňujících předpisů, rozvádějící právě ochranu osobních dat jako jednoho z pilířů úpravy, nabyl účinnosti na začátku letošního května, pár týdnů před zmiňovaným GDPR. Nabízí se tedy srovnání těchto dvou předpisů, které se potýkají s podobnou problematikou.

Specifikace ochrany osobních údajů, jak se zákon nazývá, do jisté míry vychází z GDPR. Evropská úprava sloužila jako modelová předloha při tvorbě Specifikace, v obou najdeme podobné instituty a terminologii. Je ovšem třeba říct, že se jedná o zcela rozdílné právní dokumenty – GDPR je výsledkem několikaletého legislativního procesu a jedná se o komplexní právní předpis, kdežto Specifikace je doplňující předpis k obecné úpravě kybernetické bezpečnosti a svým rozsahem se GDPR nemůže rovnat.[4][3]

Specifikace je závazná pro všechny „správce osobních údajů“, kteří mohou rozhodovat o účelu a způsobu zpracování těchto dat na území Číny; dotýká se tedy i všech zahraničních společností vyvíjejících zde činnost, při které dochází ke zpracování osobních dat. Čínská úprava je preciznější v definování požadavků na bezpečnostní standardy a testování správců údajů. To do jisté míry souvisí s celkovým pojetím režimu ochrany dat v Číně – stát má zájem na efektivním výkonu zpracování dat a řeší se zde národní bezpečnostní rizika, což se v případě GPDR říct nedá.[5]

Správce údajů má, stejně jako podle GDPR, povinnost od subjektu údajů získat souhlas s jejich zpracováním, který musí být vždy výslovný. V oznámení o soukromí a zpracování údajů, se kterým subjekt dává souhlas, nesmí chybět informace o způsobu a četnosti zpracovávání, místě úložiště dat, informace o sdílení dat třetím osobám, možnosti stížností na postup správce, upozornění na bezpečnostní pravidla či kontaktní informace správce. V porovnání s GDPR jsou požadavky na výčet přísnější; dle evropské úpravy je např. možné některou informaci z výčtu vynechat a pouze odkázat na jiný dokument, kde je možné ji nalézt – to je zde výslovně zakázáno.

Definice „osobního údaje“ je pro oba předpisy totožná, pojem „citlivý osobní údaj“ má v čínském podání ovšem extenzivnější výklad – jedná se jakýkoli údaj, který, v případě ztráty či zneužití, může poškodit osoby či majetek, pověst, zdraví, či vede k diskriminaci.

Práva subjektů údajů jsou v obou předpisech víceméně totožná. Snad jen lhůty na vyřízení požadavku jsou pod čínskou úpravou v některých případech kratší. Co se týká výmazu dat či „práva být zapomenut“, obě úpravy subjektům údajů tuto možnost dávají. GDPR ovšem v určitých případech toto právo subjektu nepřiznává (např. při právu svobody projevu, plnění právní povinnosti, u veřejného zájmu či vědeckého výzkumu); Specifikace je v tomto ohledu absolutní.

Poslední srovnávanou oblastí je sdílení dat s třetími osobami. Specifikace i samotný Zákon o kybernetické bezpečnosti vyžadují souhlas se sdílením osobních údajů třetím stranám, GDPR tento požadavek striktně nevyžaduje. Souhlas ale dle Specifikace není nutný v případě, že se jedná o sdílení veřejně dostupných údajů, a za situace, kdy je sdílení dat nezbytné pro trestní vyšetřování; v těchto případech si např. stát může data vyžádat. Dle čínské úpravy má správce zároveň povinnost vést záznamy o sdílení osobních údajů třetím stranám.

Ze srovnání vyplývá, že je Specifikace přísnější, co se povinností pro správce údajů týká, a zároveň více štědrá v garantování práv subjektů osobních údajů. Nesmíme ale zapomenout na rozdílnou povahu těchto právních předpisů – zatímco Specifikace je rozvedením obecné úpravy v Zákoně o kybernetické bezpečnosti, GDPR je nařízením EU a jeho text umožňuje a snad i předpokládá svoji specifikaci členskými státy EU, aby tak ustanovení byla šita na míru potřebám jednotlivých států za současného dodržení jednotné unijní formy. Specifikace je také v porovnání s GDPR více věcným a stručným dokumentem.

Sociální sítě – nadvláda jménem WeChat

V zemi má přístup k internetu necelých 800 milionů lidí, jedná se tak jednoznačně o světového lídra v této statistice. Drtivá většina z nich využívá některé z dostupných sociálních sítí. Nejsou mezi nimi ale např. Facebook (ten byl zablokován v roce 2009) či WhatsApp (zablokován v roce 2017). Výsadní postavení mezi sociálními sítěmi zaujímá WeChat, jehož mobilní aplikaci používá na celém světě 1,1 miliardy lidí, z toho 900 milionů denně. Byl založen v roce 2011 a z hlediska funkce, kterou v dnešní čínské společnosti zastává, není srovnatelný s žádnou jinou sociální sítí známou na západě. WeChat neslouží jen ke komunikaci mezi uživateli a sdílení obsahu, ale i jako „pomocník“ pro každodenní život: obsahuje např. elektronickou peněženku, kam uživateli chodí výplata a přes kterou může platit v obchodech či nájem za byt, obchodní centrum, kde si může nakoupit oblečení či jízdenku na vlak, služby, přes které se objednává taxi či půjčuje kolo; kromě toho sleduje polohu zařízení 24/7 pro zlepšení fungování služeb. Služba tak o uživateli sbírá velké množství dat.[7][6]

Není tajemstvím, že WeChat má úzké vazby na vládní stranu, která jej od samého počátku podporuje. Právě tento fakt vzbuzuje u uživatelů obavy ze sledování jejich aktivit státem, neboť ten má ke všem údajům přístup a netají se tím. Uživatelé ale nemají na výběr a s podmínkami užívání služby musí souhlasit; pro běžného Číňana je zcela nepředstavitelné, že by ze dne na den přestal používat WeChat – bez nadsázky řečeno se bez něj v dnešní moderní Číně nedá přežít.[8]

Rostoucí nespokojenost s nedostatečnou ochranou osobních dat

Ochrana osobních údajů na internetu se mezi uživateli stává stále diskutovanějším tématem. Přispělo k tomu i několik nedávných kauz úniků či sdílení dat a jejich použití třetími osobami.

Můžeme začít opět sociální sítí WeChat. Letos v dubnu vyšlo najevo, že společnost ukládá veškeré zprávy poslané v rámci sítě a má k nim přístup, a to včetně těch, které uživatel trvale smazal. Ačkoliv se proti tomuto nařčení WeChat v minulosti ohradila tvrdil, že poslané zprávy ze svých serverů smaže ihned po doručení a poté jsou dostupné pouze ze zařízení, z něhož byly odeslány, nedávný případ toto tvrzení vyvrací. Na začátku roku získala Městská kázeňská inspekce a dohledová komise v prefektuře Hefei v provincii Anhui sérii smazaných zpráv z konverzace mezi subjekty podezřelými z přestupku, na jejímž základě vedla vyšetřování, které skončilo doznáním se k disciplinárním přestupkům a celkem 63 uděleným trestům. Tento případ poukazuje jednak na chabou, až neexistující ochranu osobních údajů a soukromí při používání sociální sítě, ale zejména na úzkou provázanost sociální sítě se státem, který má k datům v podstatě neomezený přístup.[10][9]

V dalším případu na začátku letošního roku vyšlo najevo, že jedna z největších čínských finančních společností Ant Financial (součást skupiny Alibaba, předního hráče mezi internetovými obchodníky) automaticky a bez udělení souhlasu zapsala své uživatele do programu nazvaného Sesame Credit. Ten monitoruje chování uživatelů na sociálních sítích, jejich interakce, nákupy na e-shopu Alibaba či finanční transakce, tato data vyhodnocuje a podle předem daného vzorce uživateli udělí skóre v rozmezí od 350 do 950 bodů. Motivací je dosažení co nejvyššího skóre, díky čemuž si uživatel může např. vzít půjčku s výhodnějším úrokem či rychleji získat cestovní vízum do EU. Uživatelé tak nevědomky poskytovali svá citlivá data společnosti Ant Financial a ta je sdílela s třetími stranami, mimo jiné se státem. Je na místě uvést, že do programu Sesame Credit se dobrovolně zapojili uživatelé, kteří ochotně vyměnili kus svého soukromí za ekonomické úlevy.[11]

Množí se případy, kdy vyšlo najevo, že jsou shromažďované údaje předávány mezi správci bez udělení souhlasů, a tyto údaje jsou dále využívány. Je otázkou, jaké části uživatelů tato situace ve skutečnosti vadí, a ještě větší otázkou, jaká část nalezne chuť a odvahu nespokojenost vyjádřit. Kritici nedostatečné ochrany se pochopitelně najdou a mohou slavit dílčí úspěchy – novou legislativu zajišťující větší kontrolu nad osobními údaji, ale i stále větší prostor, který ochrana dat ve veřejné diskuzi získává.[12]

Plány do budoucna: Velký bratr v praxi?

I přes právní úpravu, která ochraně osobních dat přikládá vysokou důležitost, ale subjekty údajů zřejmě čeká studená sprcha v podobě jedné velké výjimky z ochrany soukromí jednotlivce. V roce 2014 vláda představila dokument nazvaný Nástin plánu pro vybudování sociálního kreditového systému. Dokument je velmi obsáhlý, nepřehledný a plný obecných frází, ale obsahuje radikální myšlenku, kterou se vláda zavázala do roku 2020 uskutečnit – vytvoření státního hodnotícího systému „důvěryhodnosti“, podobného Sesame Credit zmíněnému výše. Každému občanovi bude přiřazeno osobní skóre, jenž se bude odvíjet od jeho aktivit v soukromém životě – budou se mu přičítat či odečítat body za včasné placení účtů, obsah sledovaný na internetu či v televizi, konverzace s přáteli na sociální síti, nákup v obchodech, chůze přes přechod na červenou či za změnu skóre lidí, s nimiž je v kontaktu. Sledovat se bude celkem 5 oblastí – finanční historie, dodržování smluvních závazků, osobní charakteristiky, chování a mezilidské vztahy. Podle vzorce se vypočítá výše skóre jednotlivce, to poté bude určující pro jeho možnosti a postavení ve společnosti – například bude mít vliv na získání zaměstnání či vzdělání, možnost vycestovat do zahraničí, rychlost připojení k internetu či rezervování stolu v restauraci, přičemž toto skóre bude veřejně dostupné.[13]

Čína má již dnes natolik širokou a propracovanou síť sledovacích prostředků, že pro ni podobný program není nereálný – zejména díky nejrozsáhlejšímu kamerovému systému na světě s technologiemi face recognition a vládní kontrole internetu a sociálních sítí. Neustále je sledován veškerý pohyb osob v ulicích měst či konverzace na sociálních sítích; na druhou stranu je třeba přiznat, že to stejné se do jisté míry děje i u nás. Rozdílné je ale použití takto získaných dat – zatímco na západě slouží zejména k potírání kriminality, čínská vláda je využívá k potlačení názorových odpůrců a upevnění své pozice (což je de facto dle platného čínského práva také potírání kriminality, ale to je druhá věc).[14]

Nyní se vláda na zavedení systému připravuje tak, že osmi soukromým subjektům (včetně např. WeChatu či Ant Financial) udělila licenci k vytvoření a spuštění systémů a algoritmů k počítání sociálního skóre a tyto projekty sleduje. Poznatky poté využije u vlastního projektu, přičemž je možné, že správou vládního systému pověří jednu ze zmíněných společností.

A jak do tohoto programu zapadá ochrana osobních dat jednotlivců na internetu? Dle našich měřítek příliš ne.

Závěrem můžeme zhodnotit situaci takto: z hlediska právní úpravy ochrany osobních dat na internetu se Čína dostává a v blízké budoucnosti dostane na úroveň západních standardů, jen co dokončí práce na doplňující legislativě k Zákonu o kybernetické bezpečnosti, který je účinný od loňského roku. Správci údajů budou s daty muset zacházet v souladu s poměrně vysokými standardy a uživatelé budou mít své údaje relativně pod kontrolou. Co se ale týká faktického „bezpečí“ osobních údajů na internetu, změnu k vyšší ochraně čekat zřejmě nelze – ne snad vinou správců údajů (zejména poskytovatelů služeb), ale spíše kvůli neomezenému přístupu státních orgánů k datům pod kontrolou správců, a také s ohledem na výše zmíněné plány vlády na zvýšení kontroly nad obyvatelstvem, až děsivě připomínající myšlenky autorů dystopií.

---

Dostupné z: https://chinacopyrightandmedia.wordpress.com/2016/11/07/cybersecurity-law-of-the-peoples-republic-of-china/[1]

Triolo, Paul et al. (2017). China’s Cybersecurity Law One Year On. [online] NewAmerica.org. Dostupné z: https://www.newamerica.org/cybersecurity-initiative/digichina/blog/chinas-cybersecurity-law-one-year[2]

Dostupné zde, v čínském jazyce: http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=4FFAA51D63BA21B9EE40C51DD3CC40BE[3]

Sacks, Samm (2018). China’s Emerging Data Privacy System and GDPR. [online] CSIS. Dostupné z: https://www.csis.org/analysis/chinas-emerging-data-privacy-system-and-gdpr[4]

Sacks, Samm (2018). New China Data Privacy Standard Looks More Far-Reaching than GDPR. [online] CSIS. Dostupné z: https://www.csis.org/analysis/new-china-data-privacy-standard-looks-more-far-reaching-gdpr[5]

Statista, (2017). Countries with the highest number of internet users as of December 2017. [online] Dostupné z: https://www.statista.com/statistics/262966/number-of-internet-users-in-selected-countries/[6]

Business of Apps, (2017). WeChat Revenue and Usage Statistics. [online] Dostupné z: http://www.businessofapps.com/data/wechat-statistics/[7]

Pymnts.com, (2017). WeChat Shares Consumer Data With Chinese Government. [online] Dostupné z: https://www.pymnts.com/safety-and-security/2017/wechat-hands-over-user-data-to-chinese-government-amid-privacy-concerns/[8]

Huang, Zheping (2018). What Tencent left out when it denied spying on you over WeChat. [online] Quartz. Dostupné z: https://qz.com/1170046/tencents-wechat-denies-storing-chat-history-but-its-users-are-monitored-by-the-chinese-government/[9]

Mai, Jun (2018). Growing privacy fears in China after cadres punished over ‘deleted’ WeChat messages. [online] SCMP. Dostupné z: http://www.scmp.com/news/china/policies-politics/article/2143920/growing-privacy-fears-china-after-cadres-punished-over[10]

Botsman, Rachel (2017). Big data meets Big Brother as China moves to rate its citizens. [online]  Wired.co.uk. Dostupné z: http://www.wired.co.uk/article/chinese-government-social-credit-score-privacy-invasion[11]

General, Ryan (2017). WeChat Admits It Gives All Private User Data to the Chinese Government. [online] Nextshark.com. Dostupné z: https://nextshark.com/wechat-admits-gives-private-user-data-chinese-government/[12]

Dostupné z: https://chinacopyrightandmedia.wordpress.com/2014/06/14/planning-outline-for-the-construction-of-a-social-credit-system-2014-2020[13]

Grenoble, Ryan (2017). Welcome To The Surveillance State: China’s AI Cameras See All. [online] Huffpost. Dostupné z: https://www.huffingtonpost.com/entry/china-surveillance-camera-big-brother_us_5a2ff4dfe4b01598ac484acc?guccounter=1[14]